Especialista en ciberseguridad revela siete ajustes esenciales para reducir riesgos digitales antes de 2026

Entrar en 2026 con cuentas innecesarias activas, autenticación parcial y copias de seguridads no probadas puede costar millones. Según el Cost of a Data Breach 2024 de IBM, el coste medio global de una violación de datos alcanzó los 4,88 millones de dólares, mientras que en Brasil el impacto medio por incidente llegó a 7,19 millones de reales en 2025, un aumento del 6,5% respecto a 2024. Ante este escenario, la consultoría en seguridad de la información LC SEC ha separado siete ajustes prácticos que empresas de todos los tamaños pueden aplicar aún en diciembre o a principios de año para reducir riesgos digitales y proteger información sensible:

1. Jornada intensiva de credenciales y accesos

El primer paso es listar todas las cuentas vinculadas al dominio de la empresa, incluyendo colaboradores, becarios, temporales, terceros, cuentas de servicio e integraciones, y desactivar inmediatamente las que ya no sean necesarias. El foco es eliminar cuentas huérfanas, accesos temporales que se volvieron permanentes y usuarios genéricos desconocidos. “Con esto, la empresa reduce significativamente la superficie de ataque, cerrando puertas que a menudo permanecen abiertas durante años”, explica Luiz Claudio, CEO de LC SEC.

2. Ajustar los privilegios al mínimo necesario

Tras identificar quién realmente necesita tener acceso, el siguiente paso es revisar y reducir los privilegios excesivos. Esto incluye perfiles de administrador, claves de nube y cuentas de servicio con “poderes ilimitados”. Para Luiz, la regla es simple: “Cada acceso debe ser proporcional a la función, evitando que un error o la invasión de un usuario comprometido se convierta en un riesgo corporativo de gran impacto”.

3. Priorizar MFA donde más duele

A pesar de los avances en grandes empresas, casi dos tercios de las pequeñas y medianas aún no utilizan autenticación multifactor (MFA) ni planean adoptarla. LC SEC recomienda hacerla obligatoria en los sistemas más críticos, como correos corporativos, VPNs, ERPs, CRMs y consolas de nube, comenzando por la dirección, finanzas y equipos de TI. “Esta medida reduce drásticamente la probabilidad de invasiones por credenciales robadas”, señala el especialista.

4. Verificar fugas de contraseñas antes de Nochevieja

Con miles de millones de contraseñas circulando en bases criminales, verificar si las credenciales corporativas ya han sido expuestas es esencial. Herramientas especializadas permiten identificar y forzar el cambio de contraseñas comprometidas, bloquear su reutilización y reforzar el MFA, disminuyendo el riesgo de ataques dirigidos por phishing o infostealers.

5. Dar un choque de realidad a los logs

Tener sistemas de monitorización no sirve de nada si los eventos críticos no se registran. LC SEC orienta a validar si los inicios de sesión, fallos de inicio de sesión, creación y eliminación de usuarios, cambios de privilegios y accesos fuera del patrón están siendo debidamente monitorizados. Mejores logs ayudan a reducir el tiempo de detección y respuesta, lo que puede significar un ahorro de millones en caso de violación, según el IBM Cost of a Data Breach.

6. Poner a prueba las copias de seguridad

Los ransomwares a menudo apuntan a repositorios de backup: el 96% de los ataques tienen este objetivo, y el 76% logra comprometer copias, según el Veeam Ransomware Trends Report 2024. Por ello, es esencial probar restauraciones, mantener copias inmutables u offline y controlar rigurosamente quién puede alterar o borrar los backups. “Estas medidas aumentan la resiliencia y reducen pérdidas de datos críticos”, dice el ejecutivo.

7. Atar todo con comunicación clara para el equipo

Finalmente, consolidar estas acciones con comunicación interna es crucial. Campañas como la “semana del reset de accesos” explican al equipo por qué se cambiaron las contraseñas, se amplió el MFA y se revisaron los logs. Este enfoque humanizado reduce la resistencia, fortalece la cultura de seguridad y garantiza que cada colaborador comprenda su papel en la protección de la empresa.

Segundo Luiz Claudio, “la intensificación de la campaña marca el giro entre ‘hacer el curso’ y adoptar la seguridad como comportamiento cotidiano. Aún existe la percepción de que la concienciación es una lista de verificación, pero eso ya no funciona. Nuestro objetivo es apoyar a las empresas en este cambio cultural”. Con estas siete medidas, empresas de diferentes tamaños pueden reducir significativamente su exposición a ataques digitales, transformando el cambio de 2025 a 2026 en un hito de madurez en seguridad de la información.